第十课:eNSP 静态NAT/动态NAT/动态NAPT/Easy IP/静态NAPT 5种NAT配置教程
系列文章目录
第一课:eNSP第一个网络拓扑配置教程
第二课:eNSP vlan网络拓扑图配置教程
第三课:eNSP WIFI网络拓扑配置教程
第四课:eNSP 路由器路由配置拓扑教程
第五课:eNSP DHCP拓扑配置教程
第六课:eNSP 防火墙拓扑配置教程
第七课:eNSP 单臂路由/多臂路由拓扑配置教程
第八课:eNSP 链路聚合2种方式(手工模式和LACP模式)拓扑配置教程
第九课:eNSP VRRP虚拟路由冗余协议配置教程(防火墙双机热备)
一、知识点
1、NAT类型
- 静态NAT(static NAT)(静态一对一映射):设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。多用于服务器场景。
- 动态NAT(pooled NAT)(基于地址池一对一映射(NO-PAT)):在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。多用于网络中的工作站场景。动态NAT和静态NAT在地址转换上很相似,只是可用的公有IP地址不能被某个私有网络的计算机永久独自占有。
- 动态NAPT(Network Address and Port Translation)(基于地址池多对一映射):PAT的NAT设备用一个私网IP地址映射到公网IP地址的不同端口上,从而让多台设备使用一个公网IP地址上网。
- Easy IP:是NAPT的一种简化。Easy IP是一种网络地址转换技术,它可以帮助隐藏真实的IP地址,防止网络活动被监视或个人信息被黑客窃取。Easy IP的工作原理与NAPT相同,同时转换IP地址和传输层端口,但与NAPT不同的是,Easy IP没有地址池的概念,而是使用接口地址作为NAT转换的公有地址。Easy IP主要应用于通过路由器WAN接口IP地址作为要被映射的公网IP地址的情形,特别适合小型局域网接入Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境,一般具有以下特点:内部主机较少、出接口通过拨号方式获得临时(或固定)公网IP地址以供内部主机访问Internet。
- 静态NAPT:在路由器中以“IP地址+端口号”形式,将内网IP地址及端口号固定地址转换为外网IP地址及端口号,适用于允许外网用户访问内网计算机特定服务的场景中。
4、命令
| 命令 | 说明 |
| undo info-center enable | 用于关闭信息中心功能。只有开启了信息中心,系统才会向日志主机、控制台等方向输出系统信息。缺省情况下,信息中心处于开启状态。 |
| acl number | ACL是一种基于包过滤的访问控制技术,可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 acl number 2000:创建ACL 2000。 acl nmuber 3000:拒绝TCP为高级控制,所以3000起 |
| rule 10 permit source 192.168.10.0 0.0.0.255 | ACL配置规则,这条规则表示:允许源地址为192.168.10.0/24网段的所有IP地址通过。 解释如下:
|
| nat address-group 1 1.2.3.10 1.2.3.20 | "nat"是网络地址转换(NAT)的缩写,这是将私有IP地址转换为公共IP地址的技术。"address-group 1"命名一个地址组ID,地址组包含一组IP地址。"1.2.3.10 1.2.3.20"是这个地址组中的起始和结束IP地址。 |
| nat outbound 2000 address-group 1 no-pat | NAT (Network Address Translation):网络地址转换。这是一种技术,用于将私有IP地址转换为公共IP地址,反之亦然。
|
| nat server protocol tcp global 125.171.0.10 www inside 192.168.40.2 www | 这个NAT Server的配置是将内部网络的私有IP地址192.168.40.2的www服务映射到公网IP地址125.171.0.10上的www服务。具体来说,当内部网络中的设备访问外部网络的125.171.0.10上的www服务时,NAT Server会将内部网络的IP地址和端口号进行转换,使得内部网络中的设备可以访问外部网络的www服务。 |
二、 NAT配置
1、绘制拓扑图
2、配置 IP 地址和路由
SW1 的配置:
sy
[Huawei]vlan batch 5 10 20 30 40
[Huawei]undo info-center enable // 关闭输出信息
[Huawei]interface Vlanif 5
[Huawei-Vlanif5]ip address 192.168.1.2 255.255.255.252
[Huawei]interface Vlanif 10
[Huawei-Vlanif10]ip address 192.168.10.1 255.255.255.0
[Huawei-Vlanif10]interface Vlanif20
[Huawei-Vlanif20]ip address 192.168.20.1 255.255.255.0
[Huawei-Vlanif20]interface Vlanif30
[Huawei-Vlanif30]ip address 192.168.30.1 255.255.255.0
[Huawei-Vlanif20]interface Vlanif40
[Huawei-Vlanif30]ip address 192.168.40.1 255.255.255.0
[Huawei-Vlanif30]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 5
[Huawei-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 10
[Huawei-GigabitEthernet0/0/2]interface GigabitEthernet0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 20
[Huawei-GigabitEthernet0/0/3]interface GigabitEthernet0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 30
[Huawei-GigabitEthernet0/0/4]interface GigabitEthernet0/0/5
[Huawei-GigabitEthernet0/0/5]port link-type access
[Huawei-GigabitEthernet0/0/5]port default vlan 40
[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 // 配置默认路由 AR1 的配置:
[Huawei]interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.252
[Huawei-GigabitEthernet0/0/0]interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 1.1.1.1 255.255.255.252
[Huawei-GigabitEthernet0/0/1]q
[Huawei]ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
[Huawei]ip route-static 192.168.10.0 255.255.255.0 192.168.1.2 // 配置回程路由
[Huawei]ip route-static 192.168.20.0 255.255.255.0 192.168.1.2 // 配置回程路由
[Huawei]ip route-static 192.168.30.0 255.255.255.0 192.168.1.2 // 配置回程路由
[Huawei]ip route-static 192.168.40.0 255.255.255.0 192.168.1.2 // 配置回程路由AR2 的配置:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 5.5.5.1 24
[Huawei-GigabitEthernet0/0/0]interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1]description Link_Internet
[Huawei-GigabitEthernet0/0/1]ip address 1.1.1.2 255.255.255.252
[Huawei-GigabitEthernet0/0/1]q
[Huawei]interface LoopBack0
[Huawei-LoopBack0]ip address 114.114.114.114 255.255.255.255
[Huawei-LoopBack0]q
[Huawei]ip route-static 1.2.3.0 255.255.255.0 1.1.1.1 // 配置回程路由
[Huawei]ip route-static 125.171.0.10 255.255.255.255 1.1.1.1 // 配置回程路由3、静态 NAT
目标: PC3 的内网 IP(192.168.30.2)静态 nat 映射到公网 IP(125.171.0.10) 。
方法一:全局配置 nat
[Huawei]nat static global 125.171.0.10 inside 192.168.30.2 netmask 255.255.255.2
55
[Huawei]interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1]description Link_Internet
[Huawei-GigabitEthernet0/0/1]nat static enable方法二:接口配置nat
[Huawei-GigabitEthernet0/0/1]nat static global 125.171.0.10 inside 192.168.30.2
netmask 255.255.255.255验证:
1)PC3 ping通公网 IP(114.114.114.114):
2)AR2 G0/0/1接口抓包验证内网地址已转换为公网 IP(125.171.0.10)
4、动态 NAT
目标:把 PC1、PC2、PC3 的内网 IP(192.168.10.2、192.168.20.2、192.168.30.2)动态 nat 映射到公网 IP(1.2.3.10-1.2.3.20)
[Huawei]acl number 2000
[Huawei-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
[Huawei-acl-basic-2000]rule 20 permit source 192.168.20.0 0.0.0.255
[Huawei-acl-basic-2000]rule 30 permit source 192.168.30.0 0.0.0.255
[Huawei-acl-basic-2000]q
[Huawei]nat address-group 1 1.2.3.10 1.2.3.20
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat动态NAT是一个源地址占用一个nat地址,只是当nat地址不用时会释放出来给其它pc使用,nat地址利用率依旧不是很高。
这里做一个拓展:将“nat address-group 1 1.2.3.10 1.2.3.20”命令改成“nat address-group 1 1.2.3.10 1.2.3.10”,也就是地址池中只有一个地址,此时PC1和PC2同时ping公网114.114.114.114,结果可知非常不稳定:
5、动态NAPT
目标:把 PC1、PC2、PC3 的内网 IP(192.168.10.2、192.168.20.2、192.168.30.2)动态 nat 映射到公网 IP(125.171.0.10)
AR1配置:
[Huawei]acl number 2000
[Huawei-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
[Huawei-acl-basic-2000]rule 20 permit source 192.168.20.0 0.0.0.255
[Huawei-acl-basic-2000]rule 30 permit source 192.168.30.0 0.0.0.255
[Huawei-acl-basic-2000]q
[Huawei]nat address-group 1 125.171.0.10
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //和动态NAT相比,少了参数no-pat验证:
仅验证PC1 ping公网IP(114.114.114.114),PC2和PC3同理。
6、Easy IP
AR1配置:
[Huawei]acl number 2000
[Huawei-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
[Huawei-acl-basic-2000]rule 20 permit source 192.168.20.0 0.0.0.255
[Huawei-acl-basic-2000]rule 30 permit source 192.168.30.0 0.0.0.255
[Huawei-acl-basic-2000]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000验证:
PC1ping公网114.114.114.114,AR1 g0/0/1接口抓包到的公网地址为AR1 g0/0/1接口地址1.1.1.1
7、静态NAPT(NAT Server)
AR1配置:
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 125.171.0.10 www ins
ide 192.168.40.2 www // 或者“nat server protocol tcp global 125.171.0.10 80 ins
ide 192.168.40.2 80”配置 Web Server 服务器:
配置Client:
验证:
启动server:
正确访问192.168.40.2 server
